xvwa
1.0.0
XVWA ist eine schlecht codierte, in PHP/MySQL geschriebene Webanwendung, die Sicherheitsbegeisterten hilft, sich mit der Anwendungssicherheit vertraut zu machen. Es ist nicht ratsam, diese Anwendung online zu hosten, da sie als „extrem anfällig“ konzipiert ist. Wir empfehlen, diese Anwendung in einer lokalen/kontrollierten Umgebung zu hosten und Ihre Ninja-Fähigkeiten im Bereich Anwendungssicherheit mit den Tools Ihrer Wahl zu verbessern. Es ist völlig legal, hier einzubrechen oder sich zu hacken. Die Idee besteht darin, der Community die Sicherheit von Webanwendungen auf möglichst einfachste und grundlegendste Weise zu vermitteln. Lernen und erwerben Sie diese Fähigkeiten für einen guten Zweck. Es liegt nicht in unserer Verantwortung, wie Sie diese Fähigkeiten und Wissensbasis nutzen.
XVWA ist darauf ausgelegt, die folgenden Sicherheitsprobleme zu verstehen.
Viel Glück und viel Spaß beim Hacken!
Hosten Sie diese Anwendung nicht in einer Live- oder Produktionsumgebung. XVWA ist eine völlig anfällige Anwendung und der Online-/Live-Zugriff auf diese Anwendung könnte zu einer vollständigen Kompromittierung Ihres Systems führen. Wir sind für solche schlimmen Vorfälle nicht verantwortlich. Bleib sicher !
Dieses Werk ist unter der GNU GENERAL PUBLIC LICENSE Version 3 lizenziert. Eine Kopie dieser Lizenz finden Sie unter http://www.gnu.org/licenses/gpl-3.0.txt
XVWA lässt sich problemlos einrichten. Sie können dies unter Windows, Linux oder Mac einrichten. Im Folgenden finden Sie die grundlegenden Schritte, die Sie in Ihrer Apache-PHP-MYSQL-Umgebung ausführen sollten, damit dies funktioniert. Sei es WAMP, XAMP oder was auch immer Sie bevorzugen.
Kopieren Sie den xvwa-Ordner in Ihr Webverzeichnis. Stellen Sie sicher, dass der Verzeichnisname xvwa selbst bleibt. Nehmen Sie die erforderlichen Änderungen in xvwa/config.php für die Datenbankverbindung vor. Beispiel unten:
$ XVWA_WEBROOT = '' ;
$ host = " localhost " ;
$ dbname = ' xvwa ' ;
$ user = ' root ' ;
$ pass = ' root ' ;Bitte beachten Sie, dass für MySQL-Version 5.7 und höher sudoer erforderlich ist, um auf den Root-Benutzer zuzugreifen. Dies bedeutet, dass der Apache-Benutzer nicht mit dem Benutzernamen „root“ auf die Datenbank zugreifen kann. In solchen Fällen müsste ein neuer Benutzername erstellt und auch die Datei config.php entsprechend geändert werden.
Nehmen Sie die folgenden Änderungen in der PHP-Konfigurationsdatei vor
file_uploads = on
allow_url_fopen = on
allow_url_include = on Auf XVWA kann unter http://localhost/xvwa/ zugegriffen werden.
Richten Sie die Datenbank und die Tabelle hier ein oder setzen Sie sie zurück: http://localhost/xvwa/setup/
Die Anmeldedaten
admin:admin
xvwa:xvwa
user:vulnerableIch habe ein kleines Skript geschrieben, um das XVWA-Setup in Linux-Distributionen einfach zu automatisieren. Führen Sie dies mit Root aus, um die Abhängigkeiten zu installieren, falls sie in Ihrer Linux-Umgebung nicht gefunden werden
https://github.com/s4n7h0/Script-Bucket/blob/master/Bash/xvwa-setup.sh
Ich habe auch mehrere Docker gesehen, die zum Einrichten von XVWA veröffentlicht wurden. Ihnen allen gilt unser Dank. Alle Docker-Liebhaber können sich auch die folgenden Arbeiten ansehen. https://github.com/tuxotron/xvwa_lamp_container
@knoself hat XVWA als Live-ISO auf einem minimalen Ubuntu-Server 14.04.x erstellt (Problem 27) https://mega.nz/#!4bJ2XRLT!zOa_IZaBz-doqVZz77Rs1tbhXuR8EVBLOHktBGp11Q8
User = xvwa
Pass = toor
XVWA ist bewusst mit vielen Sicherheitsmängeln und genügend technischer Basis ausgestattet, um das Wissen über Anwendungssicherheit zu verbessern. Diese ganze Idee besteht darin, Sicherheitsprobleme bei Webanwendungen zu propagieren. Teilen Sie uns Ihre Verbesserungsvorschläge oder weitere Schwachstellen mit, die Sie in zukünftigen XVWA-Versionen sehen möchten.
